[IT카페]잇단 해킹에 기업 보안시스템 현미경 들이대는 정부…기업들 '골머리'

과도한 점검 요구에 기업 "보안투자 위축될라"

최근 연달아 터진 대규모 해킹 사태 이후 정부가 기업 보안시스템을 현미경 들여다보듯 살피면서, IT 업계에서는 "이제 보안팀이 아니라 보고팀이 됐다"는 푸념이 나오고 있다. 개인정보 유출에 대한 사회적 민감도가 높아진 데다 범정부 대책이 잇따라 발표되면서, 정부의 기업 보안 내부 들여다보기 요구가 이례적 수준으로 강화됐다는 불만이다.

13일 업계에 따르면 일부 기업은 최근 정부로부터 EDR(Endpoint Detection&Response) 등 일상적 보안 탐지 내역 제출, 모의해킹 결과 보고 등을 요구받았다. EDR은 PC·서버 등 단말과 서버에서 악성코드 유입, 의심 행위, 정책 위반 등을 실시간 탐지·차단하는 솔루션으로, 정상적인 업무 환경에서도 경미한 경고나 탐지 이벤트가 빈번히 발생한다.

한 IT기업 보안 책임자는 "보안 솔루션이 경고를 띄우는 건 정상적인 현상"이라며 "그걸 전부 제출하라는 건 사실상 24시간 보고 체계가 되라는 뜻"이라고 토로했다. 그는 "업계에서는 이럴 거면 차라리 이런 솔루션을 도입하지 않는 게 낫다는 얘기까지 나올 정도"라고 전했다. 정부가 일부 기업에 모의해킹 결과를 제시할 것을 요구하면서 업계 고민도 커지고 있다. 모의해킹 결과는 기업의 취약점 목록 등이 상세히 담겨 있어 최고 수준의 민감 정보로 분류된다. 한 보안 전문가는 "기업이 여러 비용을 들여 취약점을 찾는 건 내부 개선을 위한 과정인데, 이를 외부에 제출하라고 하면 모의해킹 자체가 위축될 수밖에 없다"고 지적했다.

일각에서는 기업이 자료 제출을 꺼릴 경우 "모의해킹을 수행한 외부 보안업체에서 직접 받아보겠다"는 압박까지 있었다는 증언도 나온다. 이형택 이노티움 대표는 이에 대해 "모든 내부 탐지와 직원 행태 로그까지 볼 수 있는 자료를 기업이 선뜻 내놓기는 어렵다"며 "만약 강제성을 원한다면 영장을 받아야 한다는 게 업계의 상식적인 시각"이라고 말했다.

업계의 볼멘소리는 지난달 정부가 도입하겠다고 선언한 '정보보호 등급제'를 두고도 이어지고 있다. 범부처 정보보호 종합대책에 포함된 이 등급제는 원래 과기정통부 초안에는 없었으나 "대통령실 차원에서 밀어붙였다"는 후문이 업계에 돌고 있다. 기업 보안 수준을 여러 등급으로 나누겠다는 구상인데, 실제 현장에선 "돈 많이 들이면 1등급 받는 구조냐" "기업 간 비교나 낙인찍기만 강화될 것"이라는 불만이 나온다.

보안 전문가들은 이런 흐름이 장기적으로 정보보호 생태계를 약화시킬 수 있다고 우려한다. 한 보안업체 전문가는 "정부가 자료를 확보해 해킹 원인을 연구하겠다는 의도는 이해하지만, 이를 위해 민감한 내부 데이터를 과도하게 요구하면 현업 부서의 고충은 물론 산업 전반이 위축되는 부작용이 커질 것"이라고 지적했다.

박유진 기자 genie@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>